IEC 61800-5-2是一项工业标准,涵盖了变速驱动器的功能安全。实际上,它告诉您如何构建安全的电机控制电路。在本博客中,我将讨论IEC 61800-5-2附录B中的一个示例电路,用于实现STO(安全转矩关闭)安全功能。任何从事工业或汽车功能安全工作的人都应该对这个博客感兴趣,即使变速驱动器不是你的事。
STO是IEC 61800-5-2中确定的十七种安全功能之一,也是最重要的一项,因为它旨在从电动机中消除所有运动产生动力,因此代表了许多其他安全状态。
下图是PDS(SR)的图片,该PDS(SR)在标准中被定义为“提供安全功能的可调速电力驱动系统”,通常称为变速驱动器。
图1 - 符合IEC 61800-5-2的电源驱动系统(安全相关)
在我们查看实现 STO(安全转矩关闭)的框图之前,IEC 61800-5-2 中将其描述为“此功能可防止向电机提供产生力的功率。此安全子功能对应于符合IEC 0-60204“停止类别1的非受控停止。
图 2 STO 的图形表示
从图形上看,如上所示。如果 STO 输入在时间 t 处置位1驱动器将在时间 t 滑行到一半2区间为 t2-吨1取决于电机的质量和系统中的摩擦力等因素。IEC 61800-5的附录B显示了实现STO的示例电路。它将其分为两个子系统,子系统 A/B 实现双通道核心 STO 功能,子系统 PS/VM 实现带监控功能的单通道电源系统。
图 3 - IEC 61800-5-2:2016 附录 B 中的 STO 示例电路
我在之前的博客中谈到我不喜欢标准的强制性要求。这是一个很好的例子,说明为什么它没有意义,因为子系统 PS/VM 是唯一的单通道,即使核心功能是双通道。尽管如此,该电路的双通道部分非常出色。
变速驱动器的核心功能由具有 6 个 PWM 输出的 uP 实现。PWM 输出控制 3 H 桥,高压侧 3 个 MOSFET,低侧 3 个,以斩波直流电压并产生电机的 3 相激励。
实现STO的第一个通道具有标记为STO-A的输入,并在进入uP之前通过光耦合器馈入。在uP中,它杀死6个PWM信号,这些信号本身应该足以停止电机旋转。
实现STO的第二个通道具有标记为STO-B的输入,并再次通过光耦合器馈电,但在这种情况下,它通过杀死光耦合器的5V电源来消除运动功率,并完全避免uP。根据ISO 13849-2:2012,电源断开是“基本安全原则”。
因此,该电路有两个不同的通道,一个直接杀死PWM信号,另一个通过断电间接杀死PWM信号,这为随机和系统故障源提供了良好的保护。
实际上有一个 3RD通道作为第一个通道也消除了高压侧光耦合器的电源,但通常为了机器安全,没有对3RD通道作为ISO 13849无法解释它。每个通道都有一个标记为DIAG_A和DIAG_B的诊断信号,该信号反馈到uP,因此它知道电源已被移除,并且uP生成STO-FB作为输出,然后可用作外部PLC的输入。
在我评论电路之前,我应该提到我曾经是并且仍然是制定IEC 22-12-61800:5标准的IEC SC2G / MT 2016的成员,我希望我五年多未见的同事都做得很好。5年后,今年可能会进行更新,但鉴于IEC 61508没有改变,并且不会再改变2年,那么我想IEC 61800-5-2将在那之后得到确认。
无论如何,对电路的一些评论:
评论 1 –我希望看到电路中使用的数字隔离器而不是光耦合器。数字隔离器是光耦合器的替代品,它使用构建在IC电路顶部的小型变压器,并将信号耦合到聚酰亚胺绝缘层上。与光耦合器相比,数字隔离器通常更快、更可靠(随着时间的推移,光传输不会像 optos 那样减少)和功耗更低,现在有自己的 IEC 标准,即 IEC 60747-17:2020 。新标准很好,因为在此之前,它们已通过光耦合器标准的认证。由于它们基于标准CMOS技术,因此可以向数字隔离器添加额外的功能和特性。例如,ADuM1310具有3个隔离通道,ADuM4150可用于隔离具有3个正向通道和一个反向通道的SPI接口,ADuM4135只有一个通道,但具有电机控制的特定功能。
虽然附件B示例中没有从光电器件更改为数字隔离器,但IEC 61800-5-2 D.3.13也已修改为“信号隔离元件”而不是光耦合器,因此以前仅适用于光耦合器的栅极故障故障排除现在也适用于数字隔离器。
下图显示了基于磁性的隔离的工作原理,在这种情况下,有三个芯片,中间芯片不包含有源电路。在某些情况下,只有两个死亡。
图4 - iCoupler电路图示,在一个封装中显示3个芯片
评论 2 –目前尚不清楚如果使用标准uP,通道1的分析容易程度。ADSP-CM407等uC具有专用PWM_TRIP输入,可独立于uC中运行的任何软件禁用PWM输出,并且不会通过任何存储元件。对于标准uC,可能不清楚信号在uP / uC / DSP中采用的路径。将可编程软件排除在安全功能之外始终是有利的,因为系统中与安全相关的软件会产生另一组问题。
如果使用ADuM1310或类似产品代替光耦合器,另一种可能性是将STO-A连接到ADuM1310的禁用输入端,而不是uP。这将 uP 从安全功能中删除,诊断除外。
评论 3 –虽然通道之间的多样性很好,但它可能被用来让其中一个STO输入高电平有效,另一个低电平有效。许多数字隔离器都可以通过这种方式轻松设置。也许3个optos(2个输入和1个输出)可以用单个数字隔离器(如ADuM1311)代替。
评论4 –核心功能是两个通道,而电源监视器是一个具有诊断功能的通道。这可以满足 SIL 3 的要求,前提是 SFF 大于或等于 99%,并满足 ISO 3-13849 对 CAT 1 的要求,但 ISO 10218(机器人安全)具体要求 HFT = 2 的 SIL 1 或 PL d CAT 3 呢?
否则,电源电路看起来不错,使用保险丝保护其免受过电流影响,并在电源电压超出规格时消除所有下游电源。这实现了IEC 61508-2:2010表A.9中所述的“带安全关闭的电压控制(次级)”,允许SFF的索赔高达高(99%)。LTC 4365或ADM1169等电源监控器器件可以实现此功能,如上一篇博客中所述,ADM1169还能够实现一个窗口看门狗定时器,其分辨率低至uP的mS。
注释 5 – 当至少一个 STO 输入被置位并且 uP 发现通道 2 中出现诊断故障时,电路应停止电机。但是,如果在通道1中发现故障,则无法保证关断,因为uP是通道1的一部分,可能是故障的根源,因此不能依靠它使系统进入安全状态。
总而言之,这是一个出色的赛道,如果有的话,我的批评只能表明这一点。IEC 61800-5-2中的电路分析还附带了一个有趣的马尔可夫分析示例。
图 6 - 符合 IEC 61800-5-2:2016 的安全功能
在以后的博客中,我可能会讨论IEC 61800-5-2中的其他安全功能,包括另外两个停止功能,它们使用驱动功能来实现更快的停止时间以及与速度和位置相关的安全功能。